+ Responder ao Tópico



  1. #1
    Jeffnews
    Visitante

    Padrão Regras do Firewall

    Pessoal,

    Comecei a trabalhar numa empresa que utilizava um firewall baseado em ipchains, num servidor antigo, tive que atualiza-lo... dessa forma foi instalado o Mandrake 9.0 e as regras do firewall foram adaptadas para o iptables. Gostaria que vcs as verificassem pra mim.

    # Generated by iptables-save v1.2.7a on Mon Mar 24 13:52:02 2003
    *filter
    :INPUT DROP [1168:203500]
    :FORWARD ACCEPT [0:0]
    <IMG SRC="images/forum/icons/icon_eek.gif">UTPUT ACCEPT [0:0]
    -A INPUT -d 0.0.0.0 -i lo -j ACCEPT
    -A INPUT -s 90.0.0.0/255.255.255.0 -d 0.0.0.0 -j ACCEPT
    -A INPUT -d 200.217.161.114 -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
    -A INPUT -d 200.217.161.114 -i eth1 -p tcp -m tcp --dport 110 -j ACCEPT
    -A INPUT -d 200.217.161.114 -i eth1 -p tcp -m tcp --dport 25 -j ACCEPT
    -A INPUT -d 200.217.161.114 -i eth1 -p tcp -m tcp --dport 143 -j ACCEPT
    -A INPUT -d 0.0.0.0 -p tcp -m tcp --dport 53 -j ACCEPT
    -A INPUT -d 0.0.0.0 -p udp -m udp --dport 53 -j ACCEPT
    -A INPUT -s 200.252.236.132 -j ACCEPT
    -A INPUT -s 200.199.203.36 -j ACCEPT
    -A INPUT -d 200.217.161.114 -i eth1 -j ACCEPT
    -A INPUT -d 200.217.161.114 -p tcp -m tcp --dport 1723 -j ACCEPT
    -A INPUT -i eth0 -p tcp -m tcp --dport 1723 -j ACCEPT
    -A INPUT -d 200.217.161.114 -p 47 -j ACCEPT
    -A INPUT -i eth0 -p 47 -j ACCEPT
    -A INPUT -d 90.0.0.0/255.255.255.0 -i ppp0 -j ACCEPT
    -A INPUT -d 200.235.246.46 -i ppp0 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT
    -A FORWARD -p tcp -m tcp --dport 1723 -j ACCEPT
    -A FORWARD -d 200.217.161.114 -p tcp -m tcp --dport 1723 -j ACCEPT
    -A FORWARD -s 200.217.161.114 -p tcp -m tcp --dport 1723 -j ACCEPT
    -A FORWARD -p 47 -j ACCEPT
    -A FORWARD -p 47 -j ACCEPT
    -A FORWARD -d 200.217.161.114 -p 47 -j ACCEPT
    -A FORWARD -s 200.217.161.114 -p 47 -j ACCEPT
    -A FORWARD -d 200.217.161.114 -i ppp0 -j ACCEPT
    -A FORWARD -d 90.0.0.0/255.255.255.0 -i ppp0 -j ACCEPT
    -A FORWARD -d 90.0.0.0/255.255.255.0 -i eth0 -j ACCEPT
    -A OUTPUT -d 90.0.0.0/255.255.255.0 -o eth0 -j ACCEPT
    -A OUTPUT -d 200.252.236.132 -j ACCEPT
    -A OUTPUT -d 200.199.203.36 -j ACCEPT
    -A OUTPUT -s 200.217.161.114 -d 0.0.0.0 -p tcp -m tcp --dport 1723 -j ACCEPT
    -A OUTPUT -s 200.217.161.114 -d 200.217.161.114 -p tcp -m tcp --dport 1723 -j ACCEPT
    -A OUTPUT -s 200.217.161.114 -d 0.0.0.0 -p 47 -j ACCEPT
    -A OUTPUT -s 200.217.161.114 -d 200.217.161.114 -p 47 -j ACCEPT
    -A OUTPUT -s 90.0.0.0/255.255.255.0 -o ppp0 -j ACCEPT
    -A OUTPUT -s 200.217.161.114 -o ppp0 -j ACCEPT
    COMMIT
    # Completed on Mon Mar 24 13:52:02 2003
    # Generated by iptables-save v1.2.7a on Mon Mar 24 13:52:02 2003
    *nat
    <IMG SRC="images/forum/icons/icon_razz.gif">REROUTING ACCEPT [739:156633]
    <IMG SRC="images/forum/icons/icon_razz.gif">OSTROUTING ACCEPT [3:180]
    <IMG SRC="images/forum/icons/icon_eek.gif">UTPUT ACCEPT [3:180]
    -A POSTROUTING -o eth1 -j MASQUERADE
    -A PREROUTING -d 200.217.161.114 -p tcp -m tcp --dport 25 -j DNAT --to-destination 90.0.0.4
    -A PREROUTING -d 200.217.161.114 -p tcp -m tcp --dport 110 -j DNAT --to-destination 90.0.0.4
    -A PREROUTING -d 200.217.161.114 -p tcp -m tcp --dport 143 -j DNAT --to-destination 90.0.0.4
    COMMIT
    # Completed on Mon Mar 24 13:52:02 2003

    O detalhe maior é que a politica do INPUT esta em DROP, desse jeito ninguem navega, nem localmente nem pela rede utilizando o squid. Mas quando eu mudo a politica pra ACCEPT, todos navegam.
    No arquivo rc.local coloquei as seguintes linhas:
    echo 1 > /proc/sys/net/ipv4/ip_forward
    modprobe iptable_nat
    iptables-restore < /etc/firewall

    Alguém pode me ajudar???

  2. #2
    wrochal
    Visitante

    Padrão Regras do Firewall

    o que notei q vc fechou portas aberta e isso implica de navegar... e usar alguns recurso..



  3. #3
    Jeffnews
    Visitante

    Padrão Regras do Firewall

    Então eu devo abrir as portas 80 e 443?

  4. #4
    pensador-ce
    Visitante

    Padrão Regras do Firewall

    fera faça o seguinte, proiba a porta 80 e no squid libere a 3128 q da certo, assim funciona por aqui.



  5. #5
    pensador-ce
    Visitante

    Padrão Regras do Firewall

    fera faça o seguinte, proiba a porta 80 e no squid libere a 3128 q da certo, assim funciona por aqui.

  6. #6

    Padrão Regras do Firewall

    Olha, voce deveria abrir a porta 80 para trafego e se voce quiser usar squid abrir a porta 3128 para rede interna.

    e voce teria tambem que relacionar as conexoes algo do tipo

    iptables -A forward -m --state RELATED,ESTABLHISED -j ACCEPT

    algo desse tipo... <IMG SRC="images/forum/icons/icon_smile.gif">



  7. #7
    Jeffnews
    Visitante

    Padrão Regras do Firewall

    Valeu galera, vou testar aqui!!!